The exploitation of vulnerabilities targeting remote access technologies to gain initial access is continuing relentlessly also during 2025, with initial access brokers, and in general opportunistic and targeted threat actors, quite active in leveraging software flaws to break into organizations.| HACKMAGEDDON
Common Attack Pattern Enumeration and Classification (CAPEC)は、一般的な攻撃パターンの公開カタログとなっており、CWE-IDとマッピングされていて、攻撃者が脆弱性をどのように悪用するかを理解するのに役立ちます。| 熱血!ヒートウェー部
本文永久链接 – https://tonybai.com/2025/09/25/go-security-past-present-and-future 大家好,我是Tony Bai。 在软件安全领域,最成功的战役,往往是那些从未被公众所知的“隐形战争”。当一门编程语言的安全性被认为是理所当然时,这背后必然有一支团队在持续不断地进行着防御、修复与规划。对于 Go 语言而言,这支团队就是 Google 内部的 Go 安全/密码学团队。 在今年的 GopherCon UK 大会上...| Tony Bai
W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)| CERT Polska
W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).| CERT Polska
W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).| CERT Polska
W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)| CERT Polska
W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).| CERT Polska
W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).| CERT Polska
W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).| cert.pl
I was recently asked, again, if so-called AI could help CVE. My reply was quick and direct; no. At least, not right now, and to me not for the immediate foreseeable future. Anyone that knows me is …| Rants of a deranged squirrel.
beyond HHTP/2 Security| hugs4bugs
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)| CERT Polska
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)| CERT Polska
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)| CERT Polska
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).| CERT Polska
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).| cert.pl
This year at BSides Las Vegas, a panel discussing the CVE program and crisis occurred. I watched the panel discussion after the fact, since I did not attend. For full transparency, something MITRE …| Rants of a deranged squirrel.
W oprogramowaniu GIMP na systemy MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-8672).| CERT Polska
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).| cert.pl
sslh is a protocol demultiplexer that allows to provide different types of services on the same network port. During a routine review we identified two remote Denial-of-Service vulnerabilities and a number of non-security issues.| SUSE Security Team Blog
While most of the work in the Istio Product Security Working Group is done behind the scenes, we are listening to the community in setting expectations for security releases. We understand that it is difficult for mesh administrators, operators and vendors to be aware of security bulletins and security releases. We currently disclose vulnerabilities and security releases via numerous channels: istio.io via our Release Announcements and Security Bulletins Discuss announcements channel on Slack...| Istio Blog
Installée sur une ancienne décharge, la centrale de 2,7 MW associe production photovoltaïque, gouvernance citoyenne, publique et privée et sensibilisation des plus jeunes grâce à un sentier éducatif co-créé avec les écoliers.| pv magazine France
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).| CERT Polska
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).| cert.pl
LEV erklärt: Neue NIST-Metrik zur Priorisierung von Schwachstellen mit EPSS und KEV für mehr Sicherheit.| Greenbone
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu| cert.pl
この記事ではCWE(Common Weakness Enumeration)について解説します。脆弱性情報が「CVE-2024-XXXX」みたいな形で出てきた時に、重大性を表すCVSSと共に「脆弱性の種類(CWE-XX)」として出てくる、アレの説明です。| 熱血!ヒートウェー部
2023年11月にリリースされた CVSS v4.0も、徐々に幾つかのベンダーがCVSS v4.0での情報提供を始めています。この記事では、CVSS v4.0を構成する4つのMetric Groupなどを中心に解説しています。| 熱血!ヒートウェー部
CPE(Common Platform Enumeration)は、システムを構成するハードウェア/ソフトウェアなどを識別するためのユニークなIDです。以前はMITREで管理されていましたが、現在はNISTに移管されています。ここではCPEについて解説します。| 熱血!ヒートウェー部
この記事ではCVSSについて解説します。昨年秋にCVSS v4.0が出ておりバージョン改訂も(数年に一回ほど)されていますので、本記事ではCVSS v3.1をベースとした一般的な話に留め、v4.0に関する詳しい説明は別の記事とさせていただきます。| 熱血!ヒートウェー部
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).| cert.pl
Several critical vulnerabilities discovered in Xorcom CompletePBX 5.2.35, including authenticated file disclosure, remote command execution as root, file deletion, and reflected XSS. This write-up details the black-box methodology, PoCs, and patch timeline.| Chocapikk's Cybersecurity Blog 🛡️
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).| CERT Polska
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).| CERT Polska
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).| CERT Polska
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)| CERT Polska
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).| CERT Polska
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).| CERT Polska
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).| CERT Polska
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).| CERT Polska
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).| CERT Polska
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).| CERT Polska
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).| CERT Polska
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.| CERT Polska
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).| CERT Polska
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).| CERT Polska
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).| CERT Polska
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).| CERT Polska
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).| CERT Polska
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).| CERT Polska
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).| CERT Polska
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.| CERT Polska
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.| CERT Polska
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).| CERT Polska
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.| CERT Polska
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).| CERT Polska
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).| CERT Polska
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).| CERT Polska
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).| CERT Polska
W aplikacji com.transsion.agingfunction instalowanej na urządzeniach Infinix Mobile wykryto podatność umożliwiającą nieautoryzowane przywrócenie urządzenia do ustawień fabrycznych (CVE-2024-10576).| CERT Polska
W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).| CERT Polska
W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).| CERT Polska
W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).| CERT Polska
W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.| CERT Polska
W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).| CERT Polska
W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).| CERT Polska
W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.| CERT Polska
W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).| CERT Polska
W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).| CERT Polska
CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.| CERT Polska
W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.| CERT Polska
W ramach badań własnych CERT Polska znalazł 2 podatności (CVE-2024-3798 oraz CVE-2024-3799) w otwartoźródłowym projekcie Phoniebox.| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6527.| CERT Polska
W oprogramowaniu urządzeń firmy Longse Technology wykryto 4 podatności (od CVE-2024-5631 do CVE-2024-5634).| CERT Polska
W oprogramowaniu Edito CMS wykryto podatność CVE-2024-4836 pozwalającą na pobieranie plików konfiguracyjnych.| CERT Polska
W oprogramowaniu SOWA OPAC wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-6050.| CERT Polska
W oprogramowaniu Concept Intermedia S@M CMS wykryto 3 podatności różnego typu (CVE-2024-3800, CVE-2024-3801 oraz CVE-2024-3816).| CERT Polska
We wtyczce AdmirorFrames do platformy Joomla! wykryto 3 podatności różnego typu i nadano im identyfikatory CVE-2024-5735, CVE-2024-5736 i CVE-2024-5737.| CERT Polska
W oprogramowaniu CRUDDIY wykryto podatność typu OS Command Injection (CVE-2024-4748).| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6160.| CERT Polska
W oprogramowaniu 2ClickPortal wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-5961.| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 krytyczne podatności różnego typu i nadano im identyfikatory CVE-2024-1576, CVE-2024-1577 oraz CVE-2024-1659.| CERT Polska
W oprogramowaniach Eurosoft Przychodnia, drEryk Gabinet i SimpleCare wykryto podatności polegające na stosowaniu tego samego, zakodowanego na stałe, hasła do bazy danych. Podatnościom przypisano identyfikatory CVE-2024-1228, CVE-2024-3699 i CVE-2024-3700.| CERT Polska
W oprogramowaniu Online Shopping System Advanced wykryto podatność typu Reflected XSS (CVE-2024-3579).| CERT Polska
W oprogramowaniu Ant Media Server (Community Edition) wykryto podatność typu Incorrect Authorization (CVE-2024-3462).| CERT Polska
W oprogramowaniu CemiPark wykryto 3 podatności różnego typu (od CVE-2024-4423 do CVE-2024-4425).| CERT Polska
Damit Schwachstellen und Sicherheitslücken geschlossen werden können, ist es zuallererst wichtig, diese eindeutig benennen zu können. Cybersecurity-Expert*innen nutzen dafür die CVE-Datenbank, welche von US-amerikanischen Behörden betrieben wird. Am Beispiel der von MITRE betriebenen CVE-Datenbank (Common Vulnerabilities and Exposures, https://cve.mitre.org/), deren staatliche Finanzierung durch die USA kurzfristig gefährdet war, wird deutlich, warum echte europäische Lösungen für [...| AG KRITIS
SAP NetWeaver vulnerability CVE-2025-31324 is a vulnerability that may lead to server hijacking and RCE via unrestricted file uploads.| CIP Blog
CVE-2025-31324: Pre-Auth RCE in SAP NetWeaver Visual Composer – Full Exploit Walk-Through & Defense Guide CVE-2025-31324 is a CVSS 10.0 remote-code-execution flaw in the Visual Composer Metadata component of SAP NetWeaver AS Java 7.00 → 7.50. Unauthenticated attackers can upload arbitrary ZIP/WAR archives, drop a web-shell, and run commands as <SID>adm (often mapped to SYSTEM). […] The post CVE-2025-31324: Pre-Auth RCE in SAP NetWeaver Visual Composer – Full Exploit Walk-Through & Def...| ZeroDay Labs
Yesterday, Matt Hartman, CISA Acting Executive Assistant Director for Cybersecurity, issued a statement on the CVE program. Trying to summarize the last several days and what happened is tricky, but you can read my LinkedIn posts as well as countless news articles and folks talking about. The super tl;dr is that on April 15, a […]| Rants of a deranged squirrel.
Greenbone erkennt Schwachstellen zuverlässig – auch ohne angereicherte NVD-Daten dank robuster Scan-Technologie.| Greenbone
As a pentester you are sometimes thrown into projects where you have no idea where you are going to end up. This project was one of those where you were given a customer laptop and the aim was to “find something interesting”, perhaps a misconfiguration on the customer side. The problem was that the laptop provided was being treated as a thin client, where the laptop is mainly used to access a remote desktop and use the browser with no additional software installed.| blog.compass-security.com
A brief overview of the Next.js middleware authentication bypass vulnerability (CVE-2025-29927), threat hunting insights using Shodan and Criminal IP, and practical security countermeasures.| CIP Blog
